Клавиатурные шпионы

Выявление внедренной программной закладки

Защита от внедрения программных закладок

Защита от программных закладок

Модели воздействия программных закладок на компьюторы

1. Модель «перехват»: Внедряется в ПЗУ, системное или прикладное программ-ное обеспечение и сохраняет всю или выбранную информацию, вводимую с внешних уст-ройств в систему или выводимую на эти устройства в скрытую области памяти локальной или удаленной информационной системы.

Данная модель может быть двухступенчатой:

• на первом этапе сохраняются только имена и начала файла;

• на втором этапе накопленные данные анализируются злоумышленником, и выби-рается нужная информация для принятия решения о конкретных объектах дальнейшей атаки.

Данная модель может быть эффективно использована, например, при атаке на защи-щенную WinNT. После старта WinNT, на экране появляется приглашение – нажать Ctrl+Alt+Delete. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием паролей и выполнение процедуры аутентификации. Если злоумыш-ленник заменяет библиотеку MSGINA.DLL на нужную ему библиотеку (для этого необхо-димо просто добавить специальную строку в реестр ОС WinNT и указать местоположение свой библиотеки), то модифицируется ввод и проверка пароля, т.е. подсистема контроля за доступом.

2. Модель «искажение». Программные закладки изменяют информацию, кото-рая записывается в память системы, либо подавляет (инициирует) возникновение ошибоч-ных ситуаций в ИС.

Можно выделить статическое и динамическое искажение

Статическое искажение происходит один раз, при этом параметры программной среды модифицируются, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. Например, вносятся изменения в файл AUTOEXEC.BAT, которые приводят к за-пуску заданной программы прежде, чем будут запущены другие программы.

Специалисты ФАПСИ выявили ПЗ: злоумышленник изменил в исполняемом.exe мо-дуле проверки ЭЦП. строку «Подпись не корректна» на строку «Подпись корректна». В ре-зультате перестали фиксироваться документы с неверной ЭЦП, а, следовательно, стало воз-можно вносить любые изменения в электронные документы уже после того, как их подписа-ния ЭЦП.

Динамическое искажение заключается в изменении каких-либо параметров системы или прикладных процессов при помощи заранее активированных закладок.

Динамическое искажение можно условно разделить на: искажение на входе, когда на обработку попадает уже искаженная информация; искажение на выходе, когда искажает-ся информация, отображаемая для восприятия человеком, или предназначенная для работы других программ.

Практика показала, что именно программы реализации ЭЦП особенно подвержены влиянию ПЗ типа «динамическое искажение». Существует 4 способа воздействия ПЗ на ЭЦП:

1. Искажение входной информации – ПЗ изменяет поступивший на подпись доку-мент.

2. Искажение результата проверки истинности ЭЦП (вне зависимости от результатов проверки цифровую подпись объявляют истинной).

3. Навязывание длины электронного документа – программе ЭЦП предъявляется до-кумент меньшей длины, чем на самом деле, и в результате подпись ставится только под ча-стью исходного документа.

4. Искажение самого алгоритма цифровой подписи.

В рамках модели «искажение» реализуются такие ПЗ, действия которых основано на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в ИС, тех которые приводят к отличному от нормального завершению исполняемой программы.

Например, для инициирования статической ошибки на устройствах хранения инфор-мации создается область, при обращении к которой (запись, чтение, форматирование) возни-кает ошибка, что может затруднить или блокировать некоторые нежелательные для зло-умышленника действия системы или прикладных программ (например, не позволяет осуще-ствить корректно уничтожение конфиденциальной информации на жестком диске.

При инициировании динамической ошибки для некоторой операции генерируется сообщение о ложной ошибке, например «Модем занят». Или при прочтении одного блока длиной 512 байт может установиться соответствующий флажок для того, чтобы не допус-тить прочтения второго и последующего блоков и в итоге подделать подпись под докумен-том._______________________

Разновидностью программной закладки модели «искажение» являются программы, которые получили название «троянский конь» (ТК) или «троянец».

Троянец является частью другой программы с известными пользователю функциями, которая способна в тайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.

Например, программа форматирования не является троянской, но если пользователь, выполняя некоторую программу, совершенно не ждет, что она отформатирует его жесткий диск.

Троянской можно считать любую программу, которая в тайне от пользователя выпол-няет некоторые нежелательные для него действия: определение регистрационных номеров программного обеспечения, установленного на компьютере; досоставления списка ката-логов на жестком диске и т.д. А сама троянская программа может маскироваться под тек-стовый редактор, сетевую утилиту или любую другую, которую пользователь пожелает установить на своем компьютере.

Троянские программы пишут программисты с целью получения доступа к конфиден-циальным данным (пароли, счета и т.д) и приведения в нерабочее состояние компьютерной системы.

Примеры троянцев: Программа PC Cyborg предлагала предоставить информацию о борьбе со СПИДом, а проникнув на компьютер, отсчитывала 90 перезагрузок, а затем прята-ла все каталоги и шифровала файлы. Программа AOLGOLD рассылалась по e-mail в заархи-вированном виде с сопроводительным письмом, в котором говорилось, что ее предоставляет компания America On line (AOL – крупнейший Итернет-провайдер) для повышения качества предоставляемых услуг. В архиве был файл Install.bat, пользователь, запустивший этот файл стиралт все файлы из с:\, с:\ windows.

Такие программы пишут, как правило, подростки, одержимые страстью к разруши-тельству.

Есть троянские программы, написанные профессионалами, они не разрушают, а соби-рают информацию. Обнаруживаются они, как правило, случайно. Такие программы прода-ются, распространяются через Интерне и распространяемую через Интернет, попала троян-ская программа, которая обосновалась в утилите fping. При первом же запуске модифициро-ванной утилиты в файл /etc/passwd добавлялась запись для пользователя с именем suser, ко-торый мог войти в систему и получить там права администратора.

Троянские программы можно отыскать где угодно, однако самыми подозрительными на предмет присутствия троянцев являются бесплатные или условно бесплатные программы, скачанные через Интернет или купленные на пиратских дисках.

3. Модель «уборка мусора». Работа с конфиденциальными электронными докумен-тами обычно сводится к последовательности следующих манипуляций с файлами: создание, хранение, коррекция, уничтожение. Для защиты конфиденциальной информации обычно применяется шифрование. Основная угроза исходит не от использования нестойких алго-ритмов шифрования и плохих криптографических ключей, а от обыкновенных текстовых редакторов и БД, применяемых для коррекции конфиденциальных документов. Важно пом-нить, что при записи отредактированной информации меньшего размера в тот же файл, где хранилась исходная информация, образуются так называемые «хвостовые» кластеры, кото-рые не подвергаются воздействию программ шифрования, но и остаются незатронутыми да-же средствами гарантированного стирания и удаления.

Распространенные средства гарантированного стирания файла предварительно запи-сывают на его место константы или случайные числа и только после этого удаляют файл стандартными методами. Однако даже такие средства оказываются бессильными против программных закладок, которые нацелены на то, чтобы увеличить количество остающихся в виде «мусора» фрагментов конфиденциальной информации. Из хвостовых кластеров можно извлечь до 80% информации, а через 10 суток – 25-40%

ПЗ может инициировать системную ошибку, пометив один или несколько кластеров из цепочки, входящей в файл, меткой «сбойный». В результате при удалении файла средст-вами ОС или средствами гарантированного уничтожения, та его часть, что размещена в «сбойных» кластерах останется нетронутой и впоследствии может быть восстановлена с помощью стандартных утилит.

4. Модель «наблюдение». ПЗ встраивается в сетевое или телекоммуникационное программное обеспечение. Такое программное обеспечение всегда находится в постоянной активности, внедреннаяв него ПЗ можно следить за всеми процессами обработки информа-ции и осуществлять установку или удаление других программных закладок.

5. Модель «компрометация». Модель типа «компрометация» позволяет получать доступ к информации, перехваченной другими ПЗ. Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это облегчает перехват побочных излучений данной компьютерной системы и позволяет эффек-тивно выделять сигналы, сгенерированные закладкой из общего фона излучений, исходящих от оборудования.

Задача защиты от ПЗ включает три подзадачи

1. не допустить внедрение ПЗ в компьютерную систему;

2. выявить внедренную программную закладку;

3. удаление внедренной программной закладки.

Как видно, эти задачи сходны с задачами защиты от компьютерных вирусов.

Задача решается с помощью средств контроля за целостностью запускаемых систем-ных и прикладных программ, а также за целостностью хранимой в ИС информации и за критическими для функционирования системы событиями. Однако эти средства дейст-венны, если сами не подвержены ПЗ, которые могут выполнять следующие действия:

- навязывать конечные результаты контрольных проверок;

- влиять на процесс считывания информации и запуск программ, за которыми осу-ществляется контроль.

Универсальными средствами защиты от внедрения ПЗ является создание изолирован-ного компьютера. Компьютер называется изолированным, если выполняется следующие ус-ловия:

1. на нем установлена система BIOS, не имеющая закладок;

2. ОС проверена на наличие ПЗ;

3. достоверно установлена неизменность BOIS и ОС для данного сеанса;

4. на компьютере не запускались другие программы, кроме уже прошедших проверку на наличие ПЗ;

5. исключен запуск проверенных программ в каких-либо иных условиях кроме изолированного ПК.

Для определения степени изолированности компьютера используется модель ступен-чатого контроля. Сначала проверяется:

- нет ли изменений в BIOS;

- затем считываются загрузочный сектор диска и драйверы ОС, которые также ана-лизируются на предмет внесений в них несанкционированных изменений;

- запускается с помощью ОС монитор контроля вызовов программы, который сле-дит, за тем, чтобы в компьютере запускались только проверенные программы.

Интересный метод борьбы с внедрением ПЗ может быть использован в информационной банковской системе, в которой циркулируют только документы. Чтобы не допустить проникновение ПЗ через каналы связи, в этой системе не допускается прием никакого исполняемого кода. Для распознавания события типа «Получен исполняемый код» или «Получен текстовый документ» применяется контроль за наличием в файле запрещенных символов.

Необходимо выявить признаки присутствия кода ПЗ в компьютерной системе. При-знаки могут быть качественными и визуальными; обнаруживаемые средствами тестирова-ния и диагностики.

Качественные и визуальные признаки: отклонение в работе программы; изменяется состав и длины файлов. Программа работает слишком медленно или слишком быстро закан-чивает свою работу или совсем перестает запускаться

Например, пользователи пакета шифрования и ЭЦП «Криптоцентр» заметили, что подпись ставится слишком быстро. Исследования экспертов ФАПСИ показали, что вне-дрена ПЗ, которая основывалась на навязывании длины файла. Пользователи пакета «Криптон» забили тревогу, что скорость шифрования по криптографическому алгоритму ГОСТ 28147-89 возросла в 30 раз.

Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для компьютерных вирусов. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor из Norton Utilities. А средства проверки целостности данных типа ADINF позволяют успешно выявлять изменения, вносимые в файлы ПЗ.

Как выявить троянца:

Программные средства, предназначенные для защиты от троянцев, используют согла-сование объектов. В качестве объектов – файлы, каталоги. Согласование позволяет ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. Берется резерв-ная копия файла и его атрибуты сравниваются с атрибутами файла на диске:

- время;

- размер;

- контрольная сумма;

- получение хэш-функции файла.

Для вычисления контрольной суммы есть специальные утилиты sum, но и контроль-ную сумму можно подделать. Более надежным является одностороннее хэширование фай-лов.

Алгоритмы: МД4, МД5, SНA.

Вычисление ХЭШ – значения файлов хранятся в специальной БД, которая является самым уязвимым местом {в ОС Unix - TRIPWIRE}

Пользователю предлагается хранить эту БД на съемном носителе и запирать в сейф.

Программное средство eSafe фирмы Aladdin Knowledge Systems для Windows cостоит из 3 частей:

1) Антивирус VisuSafe

2) Брандмауэр

3) Модуль защиты компьютерных ресурсов.

Брандмауэр контролирует весь трафик. Для защиты компьютерных ресурсов исполь-зуется модель «песочницы» - специальной изолированной области памяти.

Все автоматически загружаемые из Internet Java Applet, ActiveX попадают в «песоч-ницу».

Карантинный период наблюдения может быть от 1 о 30 дней. Все данные о поведе-нии программ заносятся в журнал регистрации. Далее принимается решение: разрешить загрузку данной программы или нет.

Способ удаления ПЗ зависит от метода внедрения.

Если это программно-аппаратная закладка, то – перепрограммировать ПЗУ. В других случаях – удалить вместе весь программный код и найти новую версию программы.

Виды 1.Имитаторы. 2.Фильтры. 3.Заместители.

Дата добавления: 2015-06-26; Просмотров: 285; Нарушение авторских прав?; Мы поможем в написании вашей работы!